Группа исследователей из Бингемтонского и Калифорнийского университетов опубликовали (http://www.cs.ucr.edu/~nael/pubs/micro16.pdf) технику атаки, позволяющую восстановить раскладку памяти при использовании механизма защиты ASLR (https://ru.wikipedia.org/wiki/ASLR) (Address space layout randomization) на системах с процессорами Intel. Атака успешно продемонстрирована на системе с Linux и процессором Intel Haswell для предсказания рандомизированных адресов как для ядра, так и для пространства пользователя. В результате эксперимента смещение ASLR в ядре Linux удалось восстановить за 60 мс.Метод является разновидностью атак по сторонним каналам (https://ru.wikipedia.org/wiki/%D0%90%D1%... (side-channel attacks) и основан на косвенном определении адресов, на которые осуществляется переход в процессе ветвления в коде программы, через инициирование коллизий в буфере предсказания ветвлений (Branch Target Buffer, BTB), используемом в процессоре для предсказания переходов и хранения таблицы истории переходов.
Циклично формируя переходы по различным адресам памяти атакующий отслеживает возникновение коллизии хэша, используемого в качестве индекса при записи в таблицу BTB. Далее, подобная коллизия отслеживается в процессе с ASLR. Пользуясь тем, что команды перехода по разным виртуальным адресам в результате коллизии хэша могут быть сопоставлены с одной записью в BTB, ссылающейся на один целевой адрес перехода. В результате оценки времени срабатывания перехода, единичные факты существенного увеличения времени отклика воспринимаются как признак коллизии, что позволяет определить местоположение известных команд перехода в адресном пространстве ядра или другого пользовательского процесса.
URL: http://arstechnica.com/security/2016/10/flaw-in-intel-chips-.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=45350
Спалили закладку :)
И это не шутка, даже если вы хотели пошутить. Уже столько "случайно оставленных для отладки паролей по умолчанию" было, что поверить в случайность трудно.
Шапочку из фольги поправь.
> Шапочку из фольги поправь.И еще management engine из чипсета ультрафиолетовым лазером выжги.
Да-да-да. Надо сделать так, чтобы все инструкции выполнялись за одинаковое время - очевидно, за время самой медленной из них. И чтобы все обращения к памяти занимали одинаковое время - время, необходимое для подгрузки страницы с диска. Вот тогда наступит щастье, и ни одна спецслужба не догадается, чем занят мой процесс!
>необходимое для подгрузки страницы с дискаПоправочка, со встроенного хранилища самого дальнего космического аппарата, данные с которого доступны на земле.
Сравнили однако оставленные пароли с якобы закладкой в процессоре. Совершенно разный уровень сложности.
Мда... а кто-то хелловоурдлы на гитхаб заливает.
Тогда срочно перестаньте заливать их!
А можно еще проще объяснить?
"Циклично формируя обращения к различным адресам памяти"
Откуда она знает куда обращаться? Адресов то очень много.
Адресов много, а хешей мало.
Грубо говоря, находишь занятый хеш и вычисляешь, какой адрес из пространства ядра ему соответствует.
>Откуда она знает куда обращаться? Адресов то очень многоне так уж и много, вот выдержка из оригинала: Due to the specifics of the Linux kernel memory layout, the 64-bit kernel currently randomizes only 9 bits of the virtual addresses.
ничего, подумаешь закладка. продолжаем покупать железо с закладками, всё хорошо
Дальновидные Intel, добавили закладку в архитектуру за 5 лет до появления ASLR.
> Дальновидные Intel, добавили закладку в архитектуру за 5 летЕсли не за 10.
> Дальновидные Intel, добавили закладку в архитектуру за 5 лет до появления ASLR.Это "высшее существо" добавило, ограничив скорость света, из-за чего невозможно любую операцию с информацией выполнить за константное время, общее для всех возможных операций.
Лучше бы придумали как нормально и навсегда Intel ME отключить.
>Лучше бы придумалиА ещё лучше -- антигравитацию и вечный двигатель.
Но они, заразы, продолжают выдумывать то, что могут, а не то что кому-то нужно.
Эльбрус/Байкал/Лунгсон убережёт Вашу коллекцию прона от посторонних глаз.
> Эльбрус/Байкал/Лунгсон убережёт Вашу коллекцию прона от глаз АНБ\ФБР\Ми-6.Fix
Зато наши спецслужбы заинтересуются.
> Атака успешно продемонстрирована на системе с Linux и процессором Intel Haswell для
> предсказания рандомизированных адресов как для ядра, так и для пространства пользователя.Правда, не все так страшно:
из pdf-ки-----
Specifcally, we demonstrate how a user-level spy process can gain information
about the position of code blocks in the address space of either
...
To create a BTB-based side-channel, three conditions must be satisfed.
First, one application has to fill a BTB entry by
executing a branch instruction. Second, the execution time
of another application running on the same core must be
affected by the state of the BTB. This condition is satisf
ed when both applications use the same BTB entry,
...
We assume that the spy can achieve virtual core co-
residency with the victim process.
------Т.е. да, предсказать можно, но для этого нужно "скомпилять и запустить" этого "предсказателя". А если уж кто-то сумел _уже_ запустить код на вашей машинке ...
Разве что может быть интересно (с практической точки зрения) для какого-нибудь privilege escalation.
Так сама концепция ASLR для этого и создана - чтобы всякие запускающиеся вирусы не смогли нужных функций найти. То есть, если предположить, что никто нехороший код на вашей машине не запустит - то ASLR по сути бесполезна, и вредна даже немного. А если все-таки запустит - то она вроде как немного осложнит жизнь нападающему (а судя по тексту - уже не осложнит)
> А если все-таки запустит - то она вроде как немного осложнит жизнь нападающему (а судя по тексту - уже не осложнит)Если совсем коротко, то для "обхода" АSLR требуется сначала запустить "первопроходца", который сможет собрать нужные данные для этого самого обхода.
При этом никаких "поблажек" у этого самого "собирателя/предсказателя" в смысле обхода АSLR нет.
Т.е. жизнь нападающему таки (возможно, все зависит от конкретного спосба атаки) будет осложнена, как задумывалась. Но, если "злобный код" все же "пройдет", то сможет собрать достаточно данных, чтобы запустить что-то "в обход" АSLR.
Поэтому я и считаю, что все не так страшно, как тут рисуют некоторые анонимы ;)
Where's the third condition?
Очень нагло применять понятие случайность к устройствам, которые обрабатывают данные. Особенно когда данные должны быть обработаны и возвращены обратно, естественно их путь можно проследить от начала и до конца. Даже генератор случайных чисел в какой то момент начнет выдавать повтор, догадайтесь почему?
> Даже генератор случайных чисел в какой то момент начнет выдавать повторСлучайных -- нет. Псевдослучайных из множества фиксированного размера -- может.
PS: </зануда>
>> Даже генератор случайных чисел в какой то момент начнет выдавать повтор
> Случайных -- нет. Псевдослучайных из множества фиксированного размера -- может.
> PS: </зануда>Зануды спасут Интернет! Во всяком случае, больше надеяться особо всё равно не на кого...
О, я не зануда я реалист, многие вещи называют тем чем они не являются. Любой генератор основан на алгоритме, который изначально имеет в себе определенную предсказуемость. У вас же нет генератора основанного на не предсказуемых процессах?
оцифровка теплового шума?
Существуют генераторы случайных чисел, основанные на детекторах радиоактивного излучения. Их предсказанние на несколько порядков сложнее. :)
> Существуют генераторы случайных чисел, основанные на детекторах радиоактивного излучения.
> Их предсказанние на несколько порядков сложнее. :)Просто пока ещё не хакнули алгоритм.
>> Существуют генераторы случайных чисел, основанные на детекторах радиоактивного излучения.
>> Их предсказанние на несколько порядков сложнее. :)На несколько *десятков* порядков же!
> Просто пока ещё не хакнули алгоритм.
Как это не. Берём начальное состояние всех атомов вселенной, загружаем в супер-комп-модельлёр -- Предсказатель готов. Делов-то! //Да, мвшина с лора больше не молодёжна.
Случайность невозможно контролировать, это процесс не имеющий алгоритма и ограничений. А компьютер это устройство где одно машинное слово, имеет границы, этого достаточно чтобы исключить любую случайностьP.S. Михаил, вы меня разочаровали, ранее я был о вас более высокого мнения
> Случайность невозможно контролировать, это процесс не имеющий алгоритма и ограничений.У меня за последние лет двадцать сложилось убеждение, что случайности как таковой не бывает. Но это уже другая тема...
>> из множества фиксированного размера
> А компьютер это устройство где одно машинное слово, имеет границы,
> этого достаточно чтобы исключить любую случайностьК чему и было уточнение. Только дело не именно в машинном слове (хотя и при целых числах произвольной точности остаётся "потолок" в виде объёма ОЗУ, в принципе и диска, но это уже непрактично вообще).
> P.S. Михаил, вы меня разочаровали, ранее я был о вас более высокого мнения
А я и не кисейная барышня, чтоб кого-либо очаровывать. Кто хочет -- прочтёт уже написанное и, может, извлечёт для себя что-то полезное. Кто знает лучше -- поправит, тоже спасибо. Кому что показалось -- вообще без разницы.
Михаил, а когда Linux научится отличать монитор по разъёму (DVI от HDMI)? :)
> Михаил, а когда Linux научится отличать монитор по разъёму (DVI от HDMI)? :)
MONOCUB-10-12 ~> xrandr | grep -v ^' '
Screen 0: minimum 320 x 200, current 1920 x 1080, maximum 16384 x 16384
HDMI-0 connected 1920x1080+0+0 (normal left inverted right x axis y axis) 477mm x 268mm
DVI-0 connected 1920x1080+0+0 (normal left inverted right x axis y axis) 477mm x 268mm
VGA-0 disconnected (normal left inverted right x axis y axis)Хорошо бы понять, а в чём вопрос-то -- ядерному KMS тоже можно много чего указать через video=
Вопрос в выборе главного экрана. Система не может никак выбрать куда картинку вываливать, на монитор или телевизор, мечется в растерянности.
> Случайность невозможно контролировать, это процесс не имеющий алгоритма и ограничений.
> А компьютер это устройство где одно машинное слово, имеет границы, этого
> достаточно чтобы исключить любую случайностьА вы, мил человек, случаем не попутали повтор последовательности и повтор значения? Какое отношение конечность множества, из которого производится выборка, имеет к случайности этой самой выборки? Что, последовательность натуральных чисел (бесконечная) случайна?
Речь у Михаила о _периодичности_, и, да, любой генератор _псевдослучайных чисел имеет период, который зависит от алгоритма и размера внутреннего состояния (и поэтому - сюрприз! - может быть больше размера значения, выдаваемого генератором!). А есть и вполне себе аппаратные генераторы вполне себе случайных чисел - теплового шума никто пока не отменял.
> P.S. Михаил, вы меня разочаровали, ранее я был о вас более высокого мнения
Почаще посещайте лекции, реже будете разочаровываться.
> Речь у Михаила о _периодичности_Да, именно так я "начнет выдавать повтор" в #15 и понял. Но поскольку для второго варианта (повтор единичного значения) тоже есть существенный фактор в виде размера множества возможных значений, то упомянул и его.
PS: ...и зря, похоже -- запутал только человека.
Вы уважаемые путаете понятия, если выпадение случайных чисел можно предсказать это уже не случайное выпадение, диапазон выпадений, это другой момент, но диапазон тоже влияет на предсказуемость выпадания числа, так как вы заранее знаете диапазон возможных значений. Вы очевидно не можете принять того факта что когда есть алгоритм работы, случайности быть не может. Компьютер стремится к точности, а точность исключает случайность.В данной новости очень хорошо проиллюстрировано, как знание диапазона может влиять на предсказуемость, поведения
> Вы очевидно не можете принять того факта что когда есть алгоритм работы,
> случайности быть не может.Если бы Вы когда-либо реализовывали алгоритмы, то помнили бы про входные данные.
> Компьютер стремится к точности, а точность исключает случайность.
Нет.
Если хотите узнать для себя много нового по перекликающейся тематике -- покопайте проблематику параллельных вычислений не в плане HPC, а в плане HA, как вот у Stratus (см., например, патент US6928583). Вовсе не всё вот так на блюдечке с голубой каёмочкой, "потому что это кантупер".
> но диапазон тоже влияет на предсказуемость выпадания числа
Но можете, конечно, продолжать считать нас путающими понятия (например, "влиять" и "определять", "предопределённый" и "предсказуемый")...
PS: и что компьютер к чему-то "стремится" -- тоже можете полагать.
Если бы компьютер не стремился к точности, он бы не делал того что вы от него хотите. Продолжайте думать что случайность можно описать алгоритмом
Try it. Прежде чем говорить, попробуй. Для начала, для обретения общей теоретической базы, я бы рекомендовал почитать Д.Кнута -- он посвятил довольно много времени разбору вопроса псевдослучайности и её практических и теоретических отличий от случайности. И не надо рассуждать -- попробуй. Напиши, например, бота для карточной игры, который будет знать все карты, потому что для него псевдослучайные числа не случайны. Только не надо рассуждать о том, как этого бота можно написать -- эти рассуждения может проделать любой школьник, -- ты возьми и напиши, потому что при наличии мозгов, способных к обучению, в процессе написания, можно просветлиться и понять, что случайные числа существуют. Даже если все эти общетеоретические рассуждения о неслучайности случайности -- истина, всё равно случайные числа существуют. Теория и практика -- разные вещи.> Даже генератор случайных чисел в какой то момент начнет выдавать повтор, догадайтесь почему?
Ну-ка расскажи-ка нам об этом повторе. Особенно если речь идёт об ASLR в ядре, которое собирает энтропию из очень разных источников. Тут я могу ещё порекомендовать почитать что-нибудь на тему теории хаоса, и подумать о практической возможности устранимости неопределённости в процессах, описываемых этой теорией. Не надо смотреть на теорию в отрыве от практики. Теория -- это круто, но не подкреплённая практикой она приводит к рассуждениям типа твоих.
А можно пояснить, это атака специфична только для Haswell, или и для более новых поколений процессоров?
> А можно пояснить, это атака специфична только для Haswell, или и для
> более новых поколений процессоров?На данный момент да
Эх, только вот пробегало, что появились уже серийные экземпляры Kaby Lake "нового" 7-го поколения. (Но пока только для ноутов.) А тут такой облом.
Интересно, а ведро с grsec/pax-патчами тоже уязвимо?
тоже интересно, но вот paxtest blackhat показывает далеко не 9 бит рандомизируется
Интересный документ по теме https://www.blackhat.com/docs/asia-16/materials/asia-16-Marc...
> тоже интересно, но вот paxtest blackhat показывает далеко не 9 бит рандомизируется
> Интересный документ по теме https://www.blackhat.com/docs/asia-16/materials/asia-16-Marc...Интересное чтиво, спасибо.